僵尸网络的生态系统

        僵尸网络的出现，使得网络犯罪集团可以控制和访问上千万台受感染计算机，造成网络犯罪数量明显增加。虽然大部分互联网用户知道僵尸网络威胁性很强，但很多用户并不知道僵尸网络是如何形成和维护的。

        僵尸网络在网络犯罪链条中充当着重要的一环。要了解僵尸网络所扮演的角色，并不需要太多技术知识。网络罪犯之间通过互联网从事业务，并且通过他们常访问的网站获取大量信息。

        由于僵尸网络在俄罗斯非常流行，所以互联网上大部分同僵尸网络相关的交流都是采用俄语。基于此，本文中用到的截图均采用俄语。

网络犯罪服务的提供者

        同其他成熟的产业一样，网络罪犯产业也有自己的领域专攻。在互联网上搜索一下提供网络犯罪商品和服务的结果，会发现僵尸网络运营者是这些商品和服务的主要客户。

恶意代码的开发

        大部分基于互联网的犯罪都直接或间接地同恶意程序相关，这些恶意程序包括病毒、木马、网络蠕虫以及通过网络攻击远程计算机的程序，他们是可以用于网络犯罪的主要工具。

        僵尸网络运营者是恶意软件编写者的理想客户。他们不仅可以利用恶意软件创建僵尸网络，还可以通过这些恶意软件窃取机密信息、发布垃圾邮件、流氓反病毒软件、广告软件甚至将被感染计算机变成代理服务器。

        恶意软件开发者和僵尸网络运营者关系紧密，而且他们明白各自的成功都依仗两者之间的密切合作。大型僵尸网络的运营者定期需要新的恶意程序，而恶意软件编写者则时时都在寻找固定客户。

        现在，很容易就可以在互联网上找到恶意程序代码开发订购服务。恶意程序开发者通常会在公共黑客论坛发布这些广告信息，访问这些论坛的主要客户是网络罪犯和垃圾邮件发布者。下图就是一个在黑客论坛刊登的典型广告贴：

        帖子内容声称作者可以开发木马程序，客户可以说明想要的功能。另外，帖子作者还可以给客户提供一个“合并”程序，这种程序可以将恶意代码注入到所有合法的可执行文件中。

        通常情况下，这些黑客论坛上的客户仅仅需要用于窃取密码的恶意程序。但是这些论坛中还有一些网络罪犯所使用的资源，这些资源的技术含量要高的多。开发这些恶意软件的通常是对Windows安全非常熟悉的个人，他们的技术可以媲美微软的开发者，但这些人却利用自己的才华开发出了网络犯罪工具。这些网络罪犯可以开发出负责的恶意程序，对反病毒厂商来说，能够清除这种人所开发出来的恶意程序是一个重要挑战。

        幸运的是，大部分恶意软件编写者所提供的服务相对来说技术含量都不高。不足为奇的是，有很多网络诈骗者也经常光顾这些论坛，他们所发布的帖子会被版主标记为“诈骗”内容。这表明帖子发布者已经成功诈骗到一些人，论坛版主已经从受害人那里接到投诉。这也很正常，因为很多低级的网络罪犯并不注重自己的诚信。

        由于网络犯罪商品和服务交易中缺乏相应的信赖机制，直接导致了所谓的担保人的出现。正如其名称所示，担保人确保客户成功受到他们订购的商品和服务，并保证销售者能够获取到报酬。

担保人

        担保人应该同交易双方都没有关系，并且要对商品或服务进行检验确保其符合相应标准。如果在销售恶意代码或网络犯罪服务时，能够让一个知名的担保人进行检验和担保，其交易成功的概率要大了很多。不仅如此，担保人还会参与购买和销售僵尸网络及其组件（即僵尸计算机）。

        担保人通常是知名黑客论坛的版主。担保人提供的服务包括为互相熟知的协议三方（即买方、卖方以及担保人本身）达成非正规协议，或者帮助签署一个正规的协议，协议中会写明担保人的职责以及交易条款等内容。

        下面为节选的协议，其中描述了担保人的职责以及对其服务的报酬支付条款（俄译英）

        担保人参与的网站所提供的交易类型包括很多网络犯罪商品和服务，其中有一些对僵尸网络运营者非常具有吸引力，这些商品和服务包括恶意软件加密和打包服务、浏览器漏洞利用程序、流量重定向服务以及主机服务。

恶意软件加密和打包服务

        为了成功进行网络攻击，仅仅编写或购买一款恶意程序是远远不够的。因为一旦这种程序开始使用，很快就是被反病毒厂商拿到样本，从而被作为恶意软件而清除。所以，针对恶意程序的加密和打包服务特别流行，因为这种服务可以使得可执行文件在保持恶意功能的同时避免被检测到。

        有时候，这些服务的提供者会针对某个特定家族的恶意程序提供加密服务。这是因为反病毒软件厂商在检测特定家族的恶意程序时，通常使用启发式检测技术，要躲避这种技术的检测远远比躲避普通的基于特征的检测困难的多。

        上述帖子中的作者声称为一种名为Zeus的僵尸程序提供加密服务，同时还为其他恶意代码提供加密服务。而针对Zeus的加密服务收费较高（第一次加密收费50美元，后续机密需要40美元，而其他恶意软件加密服务收费只有10美元），这是因为普通的加密软件无法为Zeus加密。

浏览器漏洞利用程序

        漏洞一直是一个热门话题，比如ExploitPack这样的系统在网络罪犯中越来越流行。这种系统可以在用户不知情的情况下攻击和利用未更新软件的漏洞。浏览器以及浏览器组件（例如Adobe Flash）都是最常被攻击的目标。

        以往，ExploitPack都是单独作为一种产品被用以销售，客户并不需要其他服务。但现在很多客户都会要求销售者提供支持和升级服务。

 
俄罗斯互联网论坛上一条关于Neon漏洞探测系统的描述信息

        由于新漏洞的不断出现，使得此类恶意程序的受欢迎程度又再度上升，导致这类程序包的价格也有所上涨。下图正是说明了在2008年末，由于某个ExploitPack开发者开发的恶意程序包中新增了一个新发现的微软IE 7漏洞利用程序，其系统的售价就从400美元提高的了500美元。

“网络流量服务”

        在网络犯罪世界中，“网络流量”指的是将用户请求从一些合法但已被攻陷的网站重新定向到网络罪犯准备的网络资源上。另一种增加“网络流量”的方法是让用户点击垃圾邮件或IM（如ICQ）信息中的链接。通常，这种垃圾邮件的发布都是有网络罪犯自己完成，这样可以确保其中的链接都指向他们设置的网站。

        网络罪犯可以通过购买一些窃取到的访问数据非法访问网站，有专门从事搜索、窃取以及销售用户密码的网络罪犯。一旦可以访问这些网站，网络罪犯就可以修改其上的网页，在网页中添加恶意iframe HTML标签。

        网站被修改后，用户访问这些网站时就会从这些被修改的合法网站被重新定向到网络罪犯指定的网站。如果大量网页被更改，则会造成大量用户被重新定向到恶意网站，事实上，网络罪犯可以使用自动工具，在一小时内修改几千个网页。

        上述截图是俄罗斯某个论坛上出售iframe“网络流量”服务的帖子，其中还注明进行交易需要预付款或通过担保人交易。

        通常来说，“网络流量”是一种最为便宜的网络犯罪服务，一般价格为0.5-1美元/千名访问者。

        僵尸网络运营者会购买“网络流量”，将用户从合法的被攻陷网站定向到包含最新漏洞利用程序的恶意网站。如果针对浏览器漏洞的攻击成功，那么被定向到恶意网站的用户计算机则会被感染，成为僵尸网络的一部分。

网络主机服务

        不限内容的透明网络主机服务也是一种盈利颇丰的网络犯罪业务。这种服务的提供商不会在意客户在网页上放置什么内容。而且，他们还保证不会在意网站浏览者或其他主机服务提供商针对其非法内容的投诉。

 
俄罗斯某论坛上出售透明主机服务的帖子

        RBN论坛就提供此类服务，此论坛非常受俄罗斯以及西方媒体的关注。RBN论坛与2007年末被关闭。但仍然有很多类似的规模或大或小的透明主机服务不断出现。

 
俄罗斯某论坛上关于出售透明主机服务的页面

        透明主机服务的需求量很大，而且只要有需求量，自然就会有市场。很多论坛上都有销售透明主机服务的内容，这项服务特别受僵尸网络运营者的亲睐，因为他们需要稳定的平台用于部署僵尸网络控制中心。

客户

        截至到此，本文详细分析了向网络犯罪市场提供商品以及服务的供应商。但是，网络犯罪市场的客户在整个网络犯罪这个地下经济体中所扮演的角色则更为重要。因为真正想要非法访问和获取被感染计算机数据和资源的是网络犯罪市场的客户。同样，也是这些客户通过窃取受害者的信用卡信息盗取大量电子货币，获取巨大的经济利益。通常，这些网络罪犯很少会同撰写恶意程序的技术型网络罪犯直接联系。

        这些客户对僵尸网络最感兴趣，他们还可以分为以下几种：

1. 信用卡盗窃者
2. 网络敲诈者和不公平竞争
3. 垃圾邮件发布者

信用卡盗窃者

        信用卡盗窃是互联网上最早出现的网络犯罪形式，信用卡盗窃者可以通过窃取到的信用卡以及持卡人个人信息获利。这类网络罪犯有自己的专业论坛，他们会在上面讨论洗钱的技巧。当然，他们所从事的金融操作都是非法的，所以他们非常注重匿名性和安全性。

        上述截图为一个典型的信用卡盗窃者活动的论坛，其中有很多“虚拟”信用卡（即关于信用卡以及持卡人信息）用以销售。其中也有实体信用卡销售（即复制的信用卡）。在俄罗斯网络犯罪术语中，“虚拟”卡被称为“卡片”，而“实体”卡则被称为“塑料卡”。

        “实体”卡只能用来从ATM机中提取现金。而且还要通过一个居住在信用卡持卡人同一地区的中间人去执行，免得引起发卡银行的怀疑。

        如果要使用“虚拟”卡盈利，必须先要通过以下方法进行洗钱：

• 利用窃取到的数据在实体商店购买商品，然后将商品迅速卖掉。由于开出的卖价比较低，所以商品的需求量很大；
• 利用窃取到的数据在在线赌场中将被窃信用卡中的钱转移到其他账户；
• 利用窃取到的信用卡信息通过在线拍卖网站购买商品，再将商品低价销售（有时候就直接在该网站销售）；
• 利用窃取到的信用卡信息租赁主机服务，然后再低价出售。

        另外，信用卡盗窃者还需要专门有人给他们提供假冒的证明文件从事非法信用卡交易。很自然地，网络罪犯会提供这项服务，这也是网络罪犯们所从事的另一项有利可图的事业。

        如果由于某种原因造成信用卡被冻结，发卡银行通常会联系持卡人并要求其将扫描版证明文件发给银行，以证明持卡人身份。需要什么证明文件，网络罪犯都可以伪造，而且伪造出来的文件看上去给原件完全相同。网络罪犯几乎可以伪造任何文件，包括驾照、护照、水电费账单、文凭甚至信用卡等。

        信用卡盗窃者在网络犯罪世界扮演着非常重要的角色。他们是最富有的网络罪犯，会在各类非法商品和服务上花费大量钱财。如果没有僵尸网络，他们就不可能获取如此多的信用卡信息。所以，他们很自然的会全力支持僵尸网络的运营者。

网络敲诈和不公平竞争

 
俄罗斯某论坛一帖子，内容是寻求DDoS攻击服务，要求在工作时间攻击2-4周

        上述行为如果没有僵尸网络帮助的话，是无法实现的。参与网络敲诈的网络罪犯都是利用DDoS攻击妨碍网站正常访问。敲诈者索要到赎金后才会停止攻击，有时候一些不良厂商也会使用这种手段致使竞争对手的网站无法访问。通常从事DDoS攻击的网络罪犯很少会对其服务做广告，因为他们都希望保持匿名。但今年夏天，由于一些客户无法找到DDoS服务的提供者，竟然在论坛上发布了一些征求此类服务的帖子。

垃圾邮件发布者

        目前，关于利用已攻陷主机提供垃圾邮件发送服务的信息很多，很容易满足此类服务的客户的所需。但是，大约有85%的垃圾邮件是通过僵尸网络发送的。通常，垃圾邮件发布者可以通过发布广告，提高在线商店的销售业绩或者为在线赌场进行推广，从而获取报酬。僵尸网络运营者欢迎这样的客户，因为他们为其服务所支付的报酬不会被窃取，所以也不会由此造成任何麻烦。

结论

        僵尸网络对整个网络犯罪行业的演化发展具有重大影响。一方面，僵尸网络促进了网络犯罪服务的发展，因为僵尸网络运营者是代码机密、漏洞利用程序打包服务、透明主机服务以及流量重定向服务的主要消费者。另一方面，僵尸网络对信用卡盗窃者和垃圾邮件发布者也至关重要，也正因为有了僵尸网络，他们才可以从事各自的业务。

        是僵尸网络最终将网络犯罪的不同元素联合起来，形成一个集成的系统，也使得从事垃圾邮件发布、信用卡盗窃、恶意软件编写以及网络犯罪服务的从业者从中可以获利，进行资本流通。

        网络犯罪行业沿着不同的周期在进化和发展。恶意软件编写者和其他服务提供者给僵尸网络运营者提供网络犯罪服务。反过来，僵尸网络运营者会为信用卡盗窃者、垃圾邮件发布者以及其他网络罪犯提供服务。通过开发某个恶意软件或提供某种服务获利后，网络罪犯会继续接手下一个订单，就这样，循环不止。每一个新的周期都会有更多人的参与。服务购买者们想要增加营业额，其订单的谣言就会在黑客论坛以及其他网络罪犯的交流渠道上快速蔓延和传播。

        今天的网络罪犯可以利用僵尸网络非法访问成千上万台计算机。僵尸网络对网络犯罪数量有直接影响，造成了大量信用卡账户失窃案件。DDoS攻击同样如此，已经变得非常常见，因为通过僵尸网络，任何人都可以轻松发起DDoS攻击。

        僵尸网络是网络犯罪维持活力的命脉，能够确保资金在网络罪犯之间持续流通，并且促进网络犯罪行业持续发展。从某种意义上说，互联网的未来在很大程度上取决于僵尸网络的发展情况。